Pasar al contenido principal

Concienciación y sentido común

Introducción

El número de ataques a las organizaciones crece diariamente. Es muy habitual leer noticias de robo o filtración de datos a las empresas, denegaciones de servicios, fraudes financieros, etc. Cada vez surgen nuevas amenazas y las organizaciones ya no pueden confiar sólo en sus defensas tecnológicas para mantenerlas a salvo. Los ciberdelincuentes cambian diariamente sus estrategias de ataque y hoy en día muchos de estos ataques están dirigidos a las personas usuarias utilizando técnicas de ingeniería social para eludir estas defensas. Los usuarios son el eslabón más débil de una organización, ya que pueden, por ejemplo, introducir un software malicioso en la compañía que vulnere su seguridad por mero desconocimiento, utilizar contraseñas inseguras para acceso a los equipos de la organización, no realizar copias de seguridad, etc. En definitiva, no llevar unas buenas pautas de seguridad. Por ello, es esencial capacitar a todos los empleados de una compañía para que sean conscientes de su importante papel en la seguridad, y ayudarles a identificar aquellas actuaciones que por desconocimiento, comodidad o dejadez pueden provocar un problema de seguridad para la protección de los activos de su organización, con especial detalle en la información que se gestiona día a día, tanto a través de documentos como mediante medios electrónicos. 

En gran parte de los ciberataques que afectan a las empresas intervienen de algún modo sus empleados, quienes, de manera inconsciente, dañan o facilitan que se dañe a la entidad. Es por ello por lo que se debe concienciar a los empleados de los riesgos y amenazas a la información y capacitarles para evitar situaciones que puedan poner en riesgo los datos de la organización, así como crearles conciencia de que la navegación en la red debe estar marcada por el sentido común.

Debemos saber que lo que hacemos y publicamos en Internet (nuestras fotografías, nuestros datos, todo lo que publicamos en las redes sociales, etc.) no desaparece. Y los ciberdelincuentes acechan para apropiarse de todos estos datos. Por ello se recomienda ser cuidadosos con lo que se hace en la Red. Usar la lógica y el sentido común es nuestra mejor defensa. 

Objetivos

  • Concienciar y formar a los usuarios para que conozcan los riesgos que existen en materia de ciberseguridad y para que asuman la responsabilidad personal de proteger la información de la organización.
  • Capacitar a los empleados a identificar aquellas actuaciones que pueden provocar un problema de seguridad para la protección de los activos. 
  • Hacer cumplir las políticas y procedimientos que la organización ha implementado para proteger sus datos.
  • Garantizar la integridad, confidencialidad y el acceso adecuado a la información de la organización.
  • Reducir la superficie de ataque de la organización.

Beneficios

  • Evitar ciberataques y prevenir riesgos. Los ciberataques se producen porque las medidas de seguridad son insuficientes o porque los usuarios no saben identificar las amenazas. Suelen caer en el engaño de abrir un enlace, descargar un archivo o ejecutar un programa que no deben. Por tanto, enseñar a los usuarios a implementar medidas técnicas de protección y educarles en prácticas de navegación seguras es clave para el correcto funcionamiento de la organización.
  • Mejorar o reforzar la reputación de la organización. Mostrar a clientes, proveedores o inversores, el compromiso de la compañía para evitar ataques y reducir amenazas hace aumentar su confianza hacia la compañía.
  • Ahorro económico. Un plan de concienciación supone un desembolso económico que debe ser entendido como una inversión, ya que es más barato formar a los empleados en prevención que arreglar las consecuencias de un ciberataque.

Fases

Fases

1. Planificar 

Identificar las necesidades de sensibilización sobre ciberseguridad mediante una evaluación de riesgos. 

  • Destacar las debilidades: identificar posibles vulnerabilidades de seguridad en sistemas o procedimientos con especial atención en las personas.
  • Aprobación y apoyo de la dirección ejecutiva: es necesario el apoyo decidido de la dirección para impulsar e implementar el plan. 
  • Inversiones en la preparación del plan: se deben cubrir al menos los requisitos mínimos de capacitación y garantizar un programa efectivo. 
  • Aplicar metodologías educativas particulares para desarrollar el programa: las técnicas de la organización pueden incluir una o más de las siguientes herramientas de concienciación:
    • Boletines
    • Salvapantallas 
    • Trípticos
    • Cursos presenciales/online 
    • Gamificación de los contenidos
    • Etc.

2. Implementar

Deben estar claramente establecidos el alcance y los objetivos de la capacitación. En paralelo, el apoyo de la dirección debe estar presente de forma constante. 

Es imprescindible involucrar a todo el personal de la organización en el plan de concienciación y destacar su importancia para proteger la organización. Comunicar con claridad qué partes de la capacitación son obligatorias para que los empleados sean plenamente conscientes de las políticas y procedimientos específicos de la organización.

3. Operar y mantener

Los ejercicios prácticos simulados y evaluaciones de conocimiento ayudan a que la capacitación sea más relevante y más fácil de relacionar con incidentes cibernéticos de la vida real.

4. Monitorizar y evaluar

La evaluación posterior a la implementación del programa de concienciación mediante pruebas de testeo, juegos de gamificación, etc. es imprescindible para garantizar que los empleados han adquirido los conocimientos necesarios y la conciencia de seguridad esperada. De este modo, las técnicas de evaluación y retroalimentación proporcionan información que podría resultar en una actualización del plan del programa de concienciación y capacitación.

El siguiente paso tras la concienciación: Entrenamiento

Pese a que se desarrolle un plan de concienciación eficaz, siempre va a existir un cierto porcentaje de usuarios para los que el plan de concienciación no va a ofrecer los resultados esperados, por diferentes motivos (no ejecutan las acciones previstas, no interiorizan las pautas proporcionadas, etc.). Con el fin de reducir al máximo dicho porcentaje, se puede optar por llevar a cabo un tipo de actuaciones complementarias a la concienciación, como es el entrenamiento en ciberseguridad. 

El entrenamiento del personal de la organización en materia de ciberseguridad supone someter periódicamente a las personas a ataques simulados de diferente índole (phishing, vishing, smishing, USB trampa, etc.) o enfrentarlas a casos prácticos en los que deban plantear cuál sería su reacción frente a dicho caso, con el fin de medir el grado de permeabilidad real de las acciones de concienciación llevadas a cabo dentro del plan e identificar acciones específicas que pudieran ser necesarias para las personas donde menos eficaz haya sido dicho plan. De este modo, se conseguirán optimizar los resultados del plan de concienciación a la vez que se cuenta con un mecanismo que permita medir su eficacia real, aspecto que va a resultar de gran utilidad en múltiples organizaciones. 

Referencias: 

https://www.proofpoint.com/es/newsroom/press-releases/informe-de-proofpoint-human-factor-2019-principales-tendencias-entre-los

https://ciberseguridad.com/normativa/espana/medidas/plan-concienciacion

Compartir

Compartir en Linkedin